Comment fonctionne la fonctionnalité de protection du cloud de Windows Defender «Bloquer à première vue»? - Winhelponline

How Windows Defender Block First Sight Cloud Protection Feature Works



Windows Defender ou la plate-forme anti-malware Microsoft protège les ordinateurs personnels, les serveurs et les services en ligne tels qu'Office 365. Grâce à la richesse des informations sur les menaces et des données de télémétrie, le backend cloud de Defender est un service de protection anti-malware étonnant.

blocage du défenseur à première vue







Lorsqu'un nouveau logiciel malveillant apparaît dans la nature, l'équipe anti-malware de Microsoft (ou toute autre société antivirus ou anti-malware d'ailleurs) peut prendre des heures pour analyser, faire de l'ingénierie inverse et effectuer une détonation de malware du fichier avant qu'il peut publier une mise à jour de signature. Et, sans parler du QC, la mise à jour de la signature doit passer.



En ce qui concerne la protection contre les logiciels malveillants, on ne peut nier le fait que la protection basée sur les signatures est primordiale. Mais ce n’est pas suffisant, car cela n’aide pas toujours, en particulier dans le cas de logiciels malveillants nouveaux ou inconnus. Selon le rapport de Microsoft, lorsqu'un nouveau malware apparaît, 30% des ordinateurs sont infectés dans les quatre premières heures. Les mises à jour des signatures interviennent généralement des heures plus tard.



blocage du défenseur à première vue





La protection robuste basée sur le cloud de Windows Defender, en revanche, utilise l'heuristique, le modèle d'apprentissage automatique et effectue une analyse détaillée au niveau du backend pour déterminer si un fichier est un malware.

La protection basée sur le cloud de Windows Defender ou la fonctionnalité de «blocage à la première vue» est activée par défaut. Si vous avez désactivé l'option de protection du cloud dans Windows Defender en raison de problèmes de «confidentialité», vous feriez mieux de regarder la démonstration de l'équipe d'ingénierie de Windows Defender, qui montre à quel point la protection du cloud peut être efficace.



Vidéo Channel 9: Découvrez la protection instantanée de Windows Defender | Microsoft Ignite 2016

Assurez-vous que la protection cloud «Bloquer à première vue» est activée

Cliquez sur Démarrer, Paramètres. (Ou appuyez sur WinKey + i)

Dans la page Paramètres, cliquez sur Mise à jour et sécurité, puis sur Windows Defender.

Sois sûr que Protection basée sur le cloud et Soumission automatique des échantillons les paramètres sont activés.

protection cloud Defender

Lorsque la protection cloud «Bloquer à la première vue» de Windows Defender et les options d'envoi d'échantillons sont activées dans les paramètres de Windows Defender, si le système rencontre un fichier suspect qui passe autrement la détection basée sur la signature, Defender envoie les métadonnées du fichier suspect au backend cloud. Notez que le cloud ne demande pas toujours l'intégralité du fichier.

Les machines du backend cloud analysent les métadonnées, en utilisant les différentes logiques, la réputation d'URL et les données de télémétrie pour déterminer si le fichier est un malware.

Par exemple, si le nom du fichier du malware correspond au nom d'un module Windows principal, le backend cloud vérifie la signature numérique du module. S'il n'est pas signé ou non signé par Microsoft, et que sa «classification» est un malware (avec un niveau de «confiance» de 85%), alors le cloud détermine que le fichier est un malware.

protection cloud Defender

Les évaluations de «classification» et de «confiance», qui constituent la partie la plus importante de l'analyse backend, sont obtenues grâce au modèle d'apprentissage automatique.

Au cas où le backend cloud ne donnerait pas de verdict, il demande le fichier entier pour une analyse détaillée. Jusqu'à ce que le fichier soit téléchargé et que le cloud confirme sa réception, Windows Defender verrouille le fichier et ne permet pas de s'exécuter sur le client. C'est un changement clé que l'équipe Windows Defender a apporté dans la mise à jour anniversaire de Windows 10 (v1607).

Auparavant, le fichier suspect était autorisé à s'exécuter pendant le téléchargement, de manière synchrone. Même avant la fin du téléchargement, le logiciel malveillant aurait fini de s'exécuter et s'auto-détruit.

En ce qui concerne la démonstration de l'équipe d'ingénierie de Windows Defender, deux scénarios ont été abordés. Dans le scénario 1, le backend cloud classe un fichier comme malware, uniquement en fonction des métadonnées. L'appareil n ° 1 dont la protection cloud est désactivée est infecté lors de l'exécution du fichier. Et l'appareil n ° 2 avec protection cloud activée est instantanément protégé.

Dans le scénario 2, le premier utilisateur exécute un logiciel malveillant inconnu. Le cloud n'a atteint aucun verdict basé sur les métadonnées, et donc le fichier entier a été automatiquement soumis.

L'heure de soumission était à 19:48:59 heures - le backend a terminé l'analyse automatisée à 19:49:01 heures (~ 2 secondes à partir du moment où le téléchargement a atteint le backend cloud) et a déterminé que le fichier était un malware.

À partir du moment même, Windows Defender bloquerait toutes les futures rencontres de ce fichier, protégeant ainsi des millions d'autres appareils sur lesquels la protection basée sur le cloud Windows Defender est activée.

Microsoft a également un site de test nommé Terrain de test Windows Defender où vous pouvez vérifier l'efficacité de la protection cloud de Defender en téléchargeant des échantillons.

Bien que la deuxième démo n’ait pas abouti en raison de problèmes de connectivité avec le cloud, il s’agit d’une présentation utile dans l’ensemble qui explique l’importance de la fonction de protection cloud «blocage à première vue» de Windows Defender. Si vous aviez désactivé la fonctionnalité, je suppose que vous allez maintenant réfléchir.

Références et crédits

Activez la fonction Bloquer à la première vue pour détecter les logiciels malveillants en quelques secondes
Découvrez la protection instantanée Windows Defender | Microsoft Ignite 2016 | Canal 9


Une petite demande: si vous avez aimé cet article, veuillez le partager?

Une «minuscule» part de votre part aiderait sérieusement à la croissance de ce blog. Quelques bonnes suggestions:
  • Épinglez-le!
  • Partagez-le sur votre blog préféré + Facebook, Reddit
  • Tweetez-le!
Merci beaucoup pour votre soutien, mon lecteur. Cela ne prendra pas plus de 10 secondes de votre temps. Les boutons de partage sont juste en dessous. :)